《IPSECVPN解决方案.doc》由会员分享,可在线阅读,更多相关《IPSECVPN解决方案.doc(23页珍藏版)》请在三一办公上搜索。
1、IPSEC-VPN解决方案 2009年3月目 录一、VPN的市场需求分析1二、IPSEC-VPN服务概述4三、IPSEC-VPN系统架构6IPSEC-VPN客户端软件9IPSEC-VPN客户端软件支持的操作系统9四、IPSEC-VPN服务优势10真正端到端的安全性10纯软件的实现方式,无需改变网络架构10易于使用,穿透防火墙10灵活性11节省和保护企业用户网络投资11五、如何组件IPSEC-VPN网络11六、应用案例16七、总结18八、术语表19九、投资收益21一、 VPN的市场需求分析1.1 VPN行业及市场概述基于IP网络的VPN,适合企业分支机构及中小企业对VPN组网的需求。在国外,基于
2、网络的VPN是由运营商提供的,利用其基于技术的IP网络而建立的安全的接入方式,它能提供至关重要的可管理的网络安全,还能提供和传统的帧中继、ATM服务水平相当的安全性能。VPN隧道的建立、管理、维护都由运营商负责,VPN用户不承担隧道业务,无需安装VPN设备,直接接入网络即可。软件VPN的技术,基于IP网络就可以提供全球一致的接入服务。总体来说,基于网络的VPN拥有类似于传统帧中继网络和ATM网络的安全性和可靠性。而当网络需要延伸到更小的远距办公地点,客户使用基于软件的VPN产品将更加实惠。此外,该产品还可以轻易延伸或扩展到相对边远的地区,使得商务伙伴或大量的远程拨号用户可以快速畅通地访问公司内
3、网。在国外网络通信发达的国家,VPN的应用非常普及。据介绍,目前全球30.4%企业已在使用IP VPN,33.6%的企业正在有计划部署IP VPN。那么国内的VPN市场如何呢?据不完全统计,中国VPN市场从去年开始加速发展,VPN技术的成熟、产品价格的平民化,是VPN市场启动的主要因素。1.2 VPN的市场需求程度宽带的迅速发展带动了VPN及其架构在其平台上的各种高速网络应用,如视频会议、企业ERP/大型分布式海量数据仓库等应用的飞速发展,而VPN的应用反过来促进宽带内容的不断丰富,并进一步激活宽带应用。现在宽带VPN的应用日趋成熟,并成为一种全新的非接触沟通模式,从费用、可靠性、安全性、管理
4、和便于连接等几个方面,VPN将成为下一波的技术与市场热点。VPN产品的市场份额也将快速增长。随着企业对网络需求的增加,VPN这种低价的远程互联方式,逐渐被企业用户接受和应用,但从过去几年中国VPN设备市场的发展来看,虽然中国的VPN市场发展很快,但仍处在发展初期,中国VPN市场规模与中国巨大的网络安全市场显得很不匹配,VPN市场毫无疑问还有着巨大的发展空间。1.3 赣州目前的需求情况IPSEC-VPN江西电信工商行业应用详情工商管理行业应用工商“e”通 商品(食品)流通监管项目情况: 根据国务院令(第503号)和工商行政管理总局关于规范食品索证索票制度和进货台账制度的指导意见(工商消字2007
5、227号)中明确指出:“要深入贯彻落实党的十七大精神,加强流通环节食品安全监督管理,进一步引导和监督食品经营者建立健全索证索票和进货台账制度,规范食品经营行为,保障食品市场消费安全。” 食品超市、经营食品的商场和食品批发市场、食品集贸市场内的入场销售者,应当建立健全进货索证索票制度,严格审验供货商的经营资格,仔细验明食品合格证明和食品标识,确保交易对象主体资格合法,购入食品质量合格。 食品销售者从种植户、养殖户购入自产自销的食用农产品的,应当索取并仔细查验供货商的身份证明和应当检验检疫的食用农产品的检验检疫合格证明。加强对商品(食品)流通的追溯的监管,各个区县工商局对所辖区域内的商品(食品)批
6、发户及农资产品批发户、经营户,所经营的商品进行相关资料的采集项目特色:经营户的数据安全无忧:江西电信根据商户需求采用IPSec-vpn软件结合USB加密key的方式确保各个经营商户在上传录入数据的起到安全有效的报障,中心数据库服务器有效隔离公网。快速平滑的部署方案:针对各个经营户有宽带及无宽带情况江西电信进行了单加密数据采集方案及含接入及数据安全加密两种方案,纯软件化部署做到了各个经营户上线的平滑。统一的票据打印格式:实现了全区各个商品经营统一票据格式打印,解决了市场上票据打印不规范,不便于统计及规范管理的问题完善的电子台帐系统:在满足工商监管的同时,系统自带的电子进销存台帐系统有效的满足了各
7、个经营户建立电子台帐的便捷性,降低了建立电子台帐的人力成本和规范成本项目发展:赣州市工商管理局工商“e”通商品(食品)流通监管系统一期:赣州市章贡区所辖各个商品(食品)经营批发户部署上线 300家食品批发户的数据采集,300IPSEC-VPN的账号放号二期:赣州市各区县、市工商所辖的食品批发户、农资经营户的上线 2000-3000家食品批发户、农资生产经营户的数据采集,2000-3000账号的放号根据以上江西的情况、广东省电信工商管理行业信息化带来更便捷与高效的管理手段。全省推广可以发展到十几万的企业结论:IPSEC-VPN通过结合行业监管型应用,便捷的组网特点为监管型行业带来了快捷的部署方案
8、及灵活的监管手段IPSEC-VPN江西电信教育行业应用详情江西赣州市教育局应用“学籍管理平台、OA”教职工的移动办公项目情况:随着教育信息化管理的普及,江西赣州教育局对全区17个县、市的中、小学部署统一的学生电子学籍管理平台及内部办公自动化OA系统,为了更好的方便将两套内网系统延伸部署到各个县、乡镇中小学校,及为各个学校的部分教职工提供在家、都能随时链接到该两套系统进行移动办公。项目特色:该项目集行业应用、教育城域网组网、分散各乡镇中小学互联网接入一体化整合方案:赣州电信根据客户需求结合ADSL、光纤接入、IPSec-vpn、及业界知名的电子学籍管理软件开发商为赣州教育局提供了一揽子解决方案完
9、善的网络安全组网:所有信息化应用系统采用B/S结构,中心节点采用高带宽,高报障的电信级机房,各县、市中小学采用光纤专线接入,各乡、镇中、小学校采用ADSL的接入方式加IPSec-VPN来安全接入到内网电子学籍管理平台及内网办公OA系统。便捷、高效的移动办公手段:各个县市、乡镇的教职工可便捷的使用IPSec-VPN的进行在家远程办公,实时管理学生学籍管理系统及办公OA系统快捷的部署方案:整套解决方案对于分散偏远的乡、镇中小学校采用存软件化IPSEC-VPN部署降低了各个学校的维护成本及部署的人力成本。项目发展:赣州市教育局综合信息化系统电子学籍、办公OA系统的全市17个县、市上线一期:赣州市所辖
10、各个县、市的中小学校光纤专线及教职工在家远陈接入市中心电子学籍、办公OA系统。 16条3M光纤接入和2000个移动办公(IPSEC-VPN)的放号二期:赣州市各县、市所辖的乡、镇中小学校ADSL与IPsec-VPN的部署,接入市中心机房的电子学籍、办公OA系统 500条ADSL的部署和3000个移动办公(IPsec-VPN)的放号根据以上江西的情况、光纤和ADSL结合商务领航IPSec-vpn产品将为广东省教育行业信息带来更高效的服务及完善的网络解决方案。未来的市场主要在: 政府部门:为政府内部/政、企之间搭建信息桥梁,实现街道、社区组网和政企信息化协同办公等; 教育行业:大、中、小学校的信息
11、资源延伸,为实现老师在家办公提供可行的解决方案; 公安行业:职能信息组网。如:易制毒化学用品信息管理、二手(汽车/手机/电脑)市场 信息管理组网和宾馆流动人口信息管理等; 生产制造业:各分公司或办事处的VPN办公组网。分支点与总部之间的信息互联; 交 通 业:高速公路信息联网,提供最方便的可选方案; 医疗卫生:食品药品监督管理局分散办公室VPN办公网络; 连 锁 业:各分支连锁门店的物流配送的VPN网络; 民政部门:民政部门的低保办事处的信息组网; 旅 游 业:各分支连锁门店与总部的业务数据VPN组网 二、 IPSEC-VPN服务概述随着Internet在中国的日益普及,越来越多的企业希望通过
12、Internet将企业内部各种应用(如:电子邮件,企业网页,网络音频/视频会议等)延伸到各个分支机构、移动办公用户和其他业务伙伴,从而实现企业资源共享和工作效率的提高。这些商务人员可能分散在不同的地方、使用不同网络、采用不同类型的应用软件,同时又要求连接手段比以前的连接方式更安全和更加经济有效。2.1 IPSEC-VPN服务部署周期短通过使用广州希华通讯设备有限公司的IPSEC-VPN服务,企业管理员可以在几分钟内创建一个安全的虚拟企业网,配置网络访问规则来管理成员间端到端的IPSec安全连接访问,完全区别于传统的VPN需要花数天甚至数月的时间来实施VPN网络建设的方式。企业管理员需要做的所有
13、事情就是确认每个用户在使用IPSEC-VPN服务之前都可以访问Internet,然后分配一个简单的DNS工作组名字(如:project.corp),然后通过给每个用户分配虚拟域名(如:johnsmith.project.corp)的方式来增加用户,完全独立于最终用户的IP地址、所处的位置、团队或网络连接访问设备。2.2 自助式的集中账号及策略管理安全策略、规则认证和工作组的分配都是由企业管理员集中管理和配置的,并自动推送到每一个最终用户终端软件上,这样用户就能够安全共享公司的资源,彼此间安全地实现灵活的协同工作。企业管理员仅需要向最终用户发送一封email邀请信就完成了增加新用户的工作,最终用
14、户安装IPSEC-VPN客户端软件自动加载虚拟网络驱动设备(包括IPSec堆栈),紧接着完成自行注册步骤获得每个用户相应的身份认证数字证书,就可以安全地加入到虚拟企业网中,访问指定的主机资源。2.3 无缝地衔接各种接入网络、无需改变现有网络的架构IPSEC-VPN服务解决方案完全独立于网络类型(无线接入、局域网、Cable Modem、xDSL等)和所处的网络位置,即使用户位于地址翻译设备NAT后面或其它私有地址网络空间里,这就使得该解决方案变得非常灵活。最终的得到的好处是:该虚拟企业网可以覆盖最小到两个用户,大到一个部门甚至大到分散在全球各地数十万的用户规模2.4 高安全标准的加密、隧道协议
15、IPSEC-VPN服务充分利用Internet所提供的方便性和覆盖率,利用Internet标准安全协议 IPsec,通过在Internet之上建立加密隧道来连接企业分支机构、移动办公员工、分销商和合作伙伴,从而实现信息资源共享和提高工作效率。其中典型的IPSEC-VPN服务类型包括: 企业远端接入用户(出差、在家工作的员工)安全访问企业内网应用,即Remote Access VPN。 企业多个分支机构之间的安全互联,即Intranet VPN。 企业和其他业务伙伴之间的信息交流,即Extranet VPN。三、 IPSEC-VPN系统架构IPSEC-VPN服务为企业用户提供端到端的IPSec安
16、全连接,即IPSEC-VPN的安全连接是从企业用户的电脑终端到其要访问的企业内部的主机或要访问的另一个用户的电脑终端上,其安全连接不需要终结在传输路径的某一个网关设备上。同时IPSEC-VPN提供的服务是有保证的、不间断的中心机房安全的VPN服务,完全满足企业对VPN解决方案稳定性、接入方式和范围的灵活性、安全认证等的要求。3.1 IPSEC-VPN系统平台的架构说明IPSEC-VPN服务系统群包括多台冗余配置的IPSEC-VPN中心服务器,这种冗余配置的平台可以支持上百万用户,提供不间断的VPN服务。企业在使用IPSEC-VPN服务来建设企业的VPN网络时,不需要在其现有的企业网上添加和/或
17、配置修改任何硬件网络设备,仅需要在员工的电脑终端上安装IPSEC-VPN客户端软件就可以实现从私宅或出差地安全地接入公司内部网中。IPSEC-VPN系统平台主要由:中心管理服务器、NRD服务器、GA组代理和MA客户端组成。IPSEC-VPN服务系统如下图示: 中心管理服务器(Manager Server): 中心管理服务器,提供虚拟专网的集中的控制和策略管理,如用户身份验证、动态密钥的管理;用户动态域名服务和定位,协调建立任意用户间的连接。 SSL服务器: SSL服务器是基于专有便携网络技术和标准的SSL / IPSec安全加密协议的WEB访问的解决方案。 无须改变其现有的网络安全架构(政府部
18、门信息发布和/或信息收集的Web服务器完全可以放置在有防火墙安全保护的内部网络中,无须放置在公网上,也无须在防火墙上打开任何向内访问的端口,从而有效地避免了来自公网的黑客攻击。 免去IPSec-VPN客户端,通过账号登陆即可。 包转发引擎服务器(Network Route Directors server): 包转发引擎服务器又称NRD服务器,是公共的包交换服务器,利用专有的NRD技术为所有私网用户提供安全隧道的包转发服务,实现安全透明地穿透防火墙和网络地址翻译设备。 客户端软件(Member Agent): 客户端软件又称MA客户端,为企业用户提供在经过认证的用户之间自动地建立安全的端到端会
19、话连接,管理和自动处理所有的安全流程。目前便携网络客户端软件支持所有的Windows操作系统。 客户端组代理软件(Group Agent): 为企业内部局域网内的服务器或用户提供IPSEC-VPN代理服务,代理服务器或用户加入到虚拟企业网中,实现相互通信。 并作为解决对于我们目前暂不支持的操作系统的主机或无法安装软件的一些终端设备(如Unix/Linux操作系统服务器、网络硬件设备等),可以采用在同一网络节点内某一台Windows2000/Windows2003操作系统的服务器上安装便携网络组代理软件,由这台安装了便携网络组代理软件的服务器代理所有无法安装便携网络客户端软件的设备加入到VPN
20、域中,实现和VPN 域内其他便携网络成员的互连互通;每一台便携网络组代理服务器可以代理多台应用服务器加入到相应的VPN域中。3.2 系统原理图解3.3 中心管理服务器的作用IPSEC-VPN中心服务器根据企业用户的要求,为每一个使用IPSEC-VPN服务的用户分配一个唯一的IDIPSEC-VPN域名,(如:abc.sale.panasonic),该域名可以由用户自行设置和定义,完全可以根据用户的角色分配相应的用户域名,完全独立于物理的IP地址和物理网络结构,不同的用户加入到各自企业的VPN域后,彼此间就可以采用IPSEC-VPN域名进行相互访问,而不需要关心双方实际所采用的IP地址,这样有效地
21、屏蔽了IP地址和网络连接复杂性的问题。IPSEC-VPN中心服务器另一个重要的功能是实现用户身份双因子认证(Two-factor Authentication,即同时认证用户名/密码和用户的数字身份证书)。所有企业用户的身份信息和安全策略都被IPSec所保护,只有合法的企业用户通过双因子认证后才可以访问企业的VPN网络。3.4 客户端软件的操作系统要求IPSEC-VPN客户端软件n IPSEC-VPN客户端软件(Member Agent,MA):your Portable Network Desktopn IPSEC-VPN组代理软件(Group Agent,GA):Portable Netw
22、ork Group AgentIPSEC-VPN客户端软件支持的操作系统n IPSEC-VPN客户端软件:Windows 2000/XP/2003n IPSEC-VPN组代理软件:Windows 20003.5 IPSEC-VPN服务技术规范要求基于标准的安全和隧道协议o IPSeco IKE(ISAK MP/Oakley)ESP加密算法o 168位三重DESo AES(128 bit)AH认证算法o HMAC with SHA-1(160 bit)支持第三方认证服务器o RADIUS协议3.6 IPSEC-VPN客户端软件的最小系统配置要求项目系统要求操作系统 Windows 2000 Wi
23、ndows XP Home/XP Pro/XP Tablet PC Windows 2000 Server/Advance Server Windows Server 2003 Windows Small Business Server 2003处理器Intel/AMD 32-bit x86 架构 PC, 233 MHz 或更高内存64 MB RAM(最小)空余硬盘空间200 MB(最小)四、 IPSEC-VPN服务优势真正端到端的安全性采用IPSEC-VPN服务的企业用户相互之间安全通信都是端到端进行IKE密钥的协商、数字证书交换、AES/3DES加解密,通讯的过程中不需要将其IPSec的安
24、全隧道终结在任何中间传输节点上,避免了敏感的信息在传输过程中出现泄密,为用户提供了足够的安全信心保证。由于采用IPSEC-VPN服务的企业用户端到端终结IPSec隧道,不仅保证了用户数据在IP公网上传输的安全性,还保证了用户数据在企业内部网中传输的安全性。相比较而言,企业自行建设VPN网关方式的VPN组网方案,仅仅提供了用户数据在IP公网上传输的安全性,在企业的内部网往往是明文传输的,因此采用IPSEC-VPN服务的VPN组网方案要企业自行建设VPN网关方式的VPN组网方案有着更高的安全性。纯软件的实现方式,无需改变网络架构IPSEC-VPN采用纯软件的实施方式,只需要在电脑安装客户端软件,无
25、需要改变企业内部的网络架构,就能随时随地实现内网数据的安全的延伸。减少了因为要实现远程办公访问,而需要改变网络架构及参数等头痛的事情。易于使用,穿透防火墙专有域名路由(NRD)技术体系结构让你以熟悉的DNS扩展功能为基础建立网络覆盖层。网络流量通过职能部门的组名(比如代表人力资源部门),而不基于IP地址来选择路由。因为DNS已经被众多的应用软件和网络硬件设备所普遍采用,它的功能实际上已经融入到所有的硬件和软件中,这就使得IPSEC-VPN服务功能变得无比强大。虚拟企业网中的用户可以采用虚拟企业网中的域名相互访问,而无须关心对方的IP地址和网络连接方式。同时用域名取代IP地址排除了私网和公用In
26、ternet网之间的连接复杂性,使管理更简单,更安全同时更灵活多变。IPSEC-VPN服务提供的虚拟企业网为用户基于Internet网构建了一个安全的虚拟企业内网,这意味着用户的所有与网络相关的应用软件都可以不加改变地移植和应用于由IPSEC-VPN服务提供的虚拟企业网中,如:E-mail、IP会议系统、浏览器、办公系列软件和数据库应用等。灵活性采用一个传统的VPN,网络中的一个改变(比如添加一个新节点,创建一个新的VPN组)常常意味着费力的重新编址、重新配置网端和子网,并且一台一台的管理,将花费很多资金和时间。采用IPSEC-VPN服务这些都不存在了,配置过程和给新组命名过程一样简单(例如:
27、),用E-mail地址加入新成员,给每个成员选择预定义的安全策略。IPSEC-VPN自动地处理不同用户的访问权限、解决地址编码冲突、建立和拆除端到端的连接、桌面配置和路由选择等所有问题。显然,在这样简便的操作下,可以在几分钟之内建立、重配和拆除虚拟企业网。与之相比,传统的VPN网络需要几天甚至几个月。由于管理是以用户为基础而不是以IP地址为基础,成员具有完全的可移动性(甚至在DHCP或灵活的办公环境下)。节省和保护企业用户网络投资采用VPN硬件网关自行建设企业的VPN网络,企业初始投资高,而且不能够根据实际用户量来购买,当企业VPN用户规模增加时,原有的VPN硬件网关设备投资得不到保护,必须更
28、换VPN网关。而采用IPSEC-VPN服务可以根据企业VPN用户的增长平滑地向广东希华增加租用IPSEC-VPN用户数量,而且在VPN网络组建时无需增加任何新的网络设备。五、 如何组件IPSEC-VPN网络5.1 认识IPSEC-VPN服务 什么叫IPSEC-VPN服务?答:IPSEC-VPN服务是新一代的可移动的基于运营商宽带运营平台设计的纯软件虚拟专用网(VPN),具有专利的路由域名技术及数据二次封装转发,它超越了传统虚拟专用网(VPN)的概念和束缚,能够适应企业互连过程中复杂的物理环境。透明的穿透网络边缘多层防火墙及地址翻译设备 IPSEC-VPN组建的虚拟专用网络是否需要新增硬件专用设
29、备,是否需要固定IP?答:IPSEC-VPN不需要新增任何硬件设备、无需要固定IP。IPSEC-VPN组建虚拟专用网络无需投入新硬件设备、无需要改变企业原有的网络架构,只需简单的安装客户端,几分钟就能搭建虚拟的专用网络。 使用IPSEC-VPN服务,用户需要搭建中心管理服务器和NRD服务器?答:中心管理服务器和NRD服务器对用户来说是透明的,架建在双电源、高冗余的机房环境,用户只需要安全客户端即可,并从平台获取相应的域名(ID)。 IPSEC-VPN账号的结构,有何作用?答:IPSEC-VPN账号分三部分:成员名、子域名、主域名,中间由“.”号分隔组成,即:成员名.子域名.主域名。可由客户该域
30、名可以由用户自行设置和定义,完全可以根据用户的角色分配相应的用户域名。IPSEC-VPN域名在中心管理服务器中具有唯一性,识别每一个用户的身份的作用,并为每一个IPSEC-VPN域名分配唯一的私钥。主域名:是起区分不同虚拟隧道的作用,具有唯一性。企业用户可以根据公司的名称英文或拼音缩写为主域名。子域名:是区分不同部门的数据访问,同一子域名的账号可以访问到相同的共享数据。注意:成员名、子域名和主域名都需要至少3个,最多20个的字符组成,不允许使用特殊字符(如:空白,/,()等等)。5.2 组建IPSEC-VPN介绍 假设某本地连锁企业,需要解决各连锁分店之间的物流配送(进销存系统)的数据组网。用
31、户对组网成本比较敏感,需要用价格相对低廉的ADSL作为接入线路,综合考虑投入成本、安全、操作等问题,用户使用IPSEC-VPN的作为接入网络手段。那么,用户只需要按以下3步骤走:l 组网前准备:1) 需要了解装有企业总部应用系统的服务器的所在位置(例如:进销存系统、ERP、财务系统、OA系统等等)。2) 列出需要联网的分支连锁店铺的相关名单(包括店铺名称、操作系统等)。3) 根据企业名称、应用系统类型、店铺名称分别开出相应的IPSEC-VPN账号。例如:(crm.bnet.gdtel或cwt.bnet.gdtel等)。l 实施部署1) 总部和各分支连锁店铺互联网络接入准备组建IPSEC-VPN
32、网络的前提条件是,确保每一个接入点(即:总部、分支连锁点)都必须具备上互联网的前提条件,这也是所有组网必须的大前提条件。条件具备后,就可以进入第二步。2) 总部和各分支连锁安装IPSEC-VPN客户端用户以在http:/www.IPsec-3) 获取账号,登录IPSEC-VPN网络以上的两个条件准备后,企业系统管理员就可以安全地登录到IPSEC-VPN中心服务器上,为企业内部每个使用IPSEC-VPN服务的员工配置账号和初试密码,集中配置每个用户的安全策略用户每一个连接的访问控制(如:用户能访问那些资源,属于哪一个组等等)和安全加密算法。当员工需要从私宅或出差地安全地接入公司内部网中时,同样重
33、复上面的3步即可,IPSEC-VPN客户端软件先到IPSEC-VPN中心服务器上进行身份验证和IP位置信息的登记,并将企业系统管理员预设置的安全策略从IPSEC-VPN中心服务器上下载到本地的电脑终端上,按照这些预设置的安全策略安全地接入公司内部网中。5.3 USB-Key为简便异地办公的用户访问内网应用的需求,免去记忆密码及账号的不便。IPSEC-VPN服务特设USB-Key的登陆方式,在安装过IPSEC-VPN客户端的任何机器上,只需要轻松插入就能自动启动IPSEC-VPN客户端程序,登录属于自己的账号,访问到公司的内网数据。USB-Key图如下:USB-Key方式需要客户端配合(特征:缺
34、少用户登陆框),插入USB-Key后即可登陆到企业的内部应用服务器上,进行享用企业内网信息资源,如下图:六、 应用案例 出租屋信息化管理组网方案市委(区委)出租屋机构分散于区内各地的镇委、居委、街道办、村委等的出租屋信息化管理组网,提高了各工作人员的工作效率,低成本,易维护的将大面积的分散办事点进行了全程联网。 房地产行业的预售房数据采集组网方案广东省房地产行业的预售房数据采集组网涉及政府部门(房管局等)、楼盘开发商、中介结构的数据采集组网方案,为个发展商的预售房数据进行传输加密确保信息数据安全,更为市民提供一个更可靠的真实商品房交易数据。 安监信息化组网案例IPSEC-VPN为政府与企业之间
35、搭建起安全信息的桥梁,运用零活的、弹性的方式使政府和各企业的之间安全生产公文的有效运转,极大的迎合政府信息化工作的开展。按照“政府引导,企业参与,市场化运作”的原则运作,它的实现是政府为企业提高工作效率、实现便民措施的又一大举措。 蛋糕连锁企业数据组网广州某蛋糕连锁企业近十家专卖店分布在广州市内不同区域,与公司总部及工厂相隔很远。为了加强对连锁店的管理及对工厂生产的管理,该企业结合IPSEC-VPN的特点,成功解决安全、操作简易、解决动态IP等问题,并且能够解决企业领导出差在外时也可以随时随地接入公司内部,查看最新营业状况及监管各专卖店实时情况。 广州某房地产中介数据汇总广州某房地产公司下属有
36、几十家分公司,分别部署在全市各大楼盘附近及楼盘小区内各个分店的楼盘中介数据是企业生存的命脉,结合IPSEC-VPN的组网方案特点,为用户提供一种安全有效的方式将各分店的楼盘中介数据集中起来管理。既方便了数据的管理,也方便了各网点之间数据的查看调用的综合解决方案。为用户公司减轻因自行架建硬件或者专线的前期大量的硬件投入及网络成本投入;IPSEC-VPN的端到端的加密隧道,最大程度的保证了房产楼盘数据的安全性、数据的共享性。 佛山市某银行移动办公网络部署方案某银行的佛山市分行经常有大量高级业务人员来往佛山市各地区做业务推广和工作协调等工作,对此该分行结合MVNP的移动性能强的特点,解决移动人员(如
37、:在外出差人员或高层人员在家办公时)访问银行内部OA系统和邮件系统的连接问题。七、 总结IPSEC-VPN服务使企业用户可以通过Internet远程安全地连接到企业私有网中,它有着当今VPN的全部优点:安全、节省开支和便捷的远程登录。IPSEC-VPN服务解决方案与传统IPSec VPN技术相比,还具有以下的优势: 优越的安全性能,采用IP Sec完全的端到端连接。 灵活的网络覆盖,穿透多层NAT,无须改动现有的网络配置,不仅可以在全国范围内使用,一样可以在全球范围内使用。 以域名为账号的技术,IPSEC-VPN用户采用账号方式进行相互的访问,无须关心其IP的规划,而且用户使用VPN的界面更加
38、友好简便,适合与商务人员和管理人员使用。 不需要硬件设备的增加、修改和配置,完全的软件安装和配置,而且安装和配置步骤简单易行,用户只需要下载IPSEC-VPN客户端软件到电脑上或者简单地双击广州希华网页上的IPSEC-VPN服务图标通过网络安装,然后根据屏幕上的指示操作,点击“Yes”或“下一步”按钮就可以了(共9到10个窗口)。 没有网关瓶颈,完全的分布式计算;IPSEC-VPN系统中IP Sec数据的加解密运算和密钥的计算都是分布在每一个IPSEC-VPN客户端软件终端自动完成的,是一种分布式的计算架构,避免了其它VPN网关式架构中容易出现的网关瓶颈问题。 简单的、以安全策略为基础的中央管
39、理,便于企业系统管理员维护管理,基于Web浏览器页面的集中配置管理,维护工作量极少。 迅速的建立、拆除、配置,可以在几分钟内就可以为用户提供IPSEC-VPN服务。 成员的完全可移动性,成员可以采用任何方便的IP接入方式连接到Internet网上,启动IPSEC-VPN客户端软件就可以加入到其企业虚拟网中。 完全的互操作性,对上层所有IP应用完全透明(如文件共享、Email、远程网络打印等),并支持企业用户日常协同工作的所需应用程序(如ERP、CRM、CAD和NetMeting等)。八、 术语表术语缩略语或缩写说明活动 指用户连接到便携网络并可以和其他用户安全通信。客户域或组 客户域管理员在I
40、PSEC-VPN数据库内创建的一个虚拟域/组,由IPSEC-VPN所有者拥有,由便携网络管理员管理。这个虚拟域本质上是一个管理的结构,它是组成由便携网络所有者的代表创建并把在便携网络上的管理权限授权便携网络管理员的便携网络基础。客户域或组名 客户域/组管理员分配给客户域/组的名字。帐号资料 用户在便携网络内注册时从便携网络服务器获得的数据。非活动 指用户离开便携网络,并且不能和其他用户建立连接。Internet Key ExchangeIKE两个用户交换用于加密数据的密钥的方法。Internet ProtocolIP网际协议是在互联网上从一台计算机想其它计算机传送数据的方法或协议。互联网每一台
41、计算机(叫做“主机”)至少有一个以和其它计算机想区分的IP地址。Internet Protocol SecurityIPSec一组用于 IP 通信加密的协议。所有成员到成员的便携网络连接是 IPSec 连接并由便携网络管理员或成员分配的安全策略控制。连接、连接请求 用户变为便携网络的活动的用户的行为,该用户可以与另一活动的用户通信。断开 由一个用户执行的变为非活动用户操作,然后这个用户就不能和其他活动用户通过便携网络通信。提供商 提供和维护便携网络管理服务器的组织,多为大企业或因特网服务提供商。被代理的服务器 一个已存服务器,安装在网络上支持从/向网络用户的计算机传送文件。作为被代理的服务器,
42、也支持从/向活动便携网络成员的计算机传送文件。同时支持传送文件从/向活动成员、非成员,这个服务器支持在成员和非成员间通信,但只有链路中的一部分即端到端的部分是安全的。注册的 只一个用户已经在注册到便携网络。安全策略SP一组应用于便携网络用户的安全规则。一个安全策略可以参考其他安全策略以合并它们的安全规则。然而,安全规则,包括那些合并的,不能彼此参考。未注册 指用户有便携网络管理员创建的帐号但还没有在便携网络内注册激活该帐号。用户 在一个或更多便携网络内注册的人。用户帐号 由便携网络管理员在便携网络内给用户预注册时产生。用户帐号文件 第一次启动便携网络客户端软件时在硬盘上创建的一个文件,这个文件
43、用于存储关于用户、其计算机和所注册的便携网络的各种信息(比如:端口设置,在一个或多个便携网络的帐号,安全策略等)。当在一台计算机上启动便携网络客户端软件时,便携网络客户端软件检查用户名并确定是谁启动便携网络客户端软件,并访问该用户的用户帐号文件并配置便携网络客户端图形界面访问这个人所在的便携网络。如果这个计算机的硬盘上没有该用户的帐号文件,便携网络客户端会自动生成一个并存放在计算机的硬盘上。便携网络客户域/组管理员 代表供应商管理客户域/组和便携网络服务器的人。便携网络客户端 便携网络软件包的一个组件,安装在用户的计算机上,并允许用户连接便携网络、获得活动用户列表、和其他活动用户建立连接。便携
44、网络所有者 管理和控制一个或多个客户域/组的企业。便携网络软件包 一套不同但是互相关联的软件程序(比如:程序、模块、和/或组件)这个集合允许管理员管理一个便携网络和他的虚拟元素,并允许用户连接到便携网络并和其它活动成员建立连接。虚拟便携网络(IPSEC-VPN)IPSEC-VPN位于一个客户域/组内的虚拟网络。网络支持成员的团体,只有经便携网络管理员授权的成员才能连接到网络。一个IPSEC-VPN在可被描述为一个私有局域网,并且便携网络服务器通过控制网络的连接/断开才使成员进/出局域网。虚拟专网VPN用加密通信通道在公共网络上提供一个安全通信隧道的网络。九、 投资收益为了便于该业务的初期发展,
45、建议以合作分成的方式进行投资即电信投入:1、主平台系统所需要的硬件服务器及机房环境、带宽部分2、根据业务发展需求购买账号许可证部分名称规格数量参考价格IPSEC-VPN网络客户端许可帐号(含工商商品(食品)流通管理账号)每个许可帐号(版本5.3)2000¥2,000,000.00DL160G5 XEON四核5405(2.0G)加配:CPU 160 G5 XEON四核5405(2.0G)HP 4GB FBD PC2-5300 2x2GB Kit内存USB软驱2¥25,600.00合计¥2,025,600.00广州希华公司:1、 投资主平台上全部系统软件部分包括系统平台的升级维护2、 前端客户的安装部署支撑及业务推广的培训支撑名称规格数量价格Ipsec-vpn管理系统(高可用性)管理服务软件(版本5.0)支持100万注册用户/1¥2,540,000.00包交换引擎网络交换引擎NRD (版本:4.5)1¥1,240,000.00Ipsec-VPN网络组代理组代理(一次购买) (版本5.3)不限组数量1¥800,000.00 工商食品(商品)流通监管系统工商食品(商品)流通监管系统1.1版含企业电子台帐系统1.1版1¥800,000.00 合计